Les fournisseurs de large bande ont de plus en plus recours aux technologies d’inspection approfondie des paquets (IAP), qui examinent les activités et les communications des consommateurs en ligne afin de cibler la publicité en fonction de leurs goûts[1]. Bien que les fournisseurs insistent sur le fait que l’IAP améliore leur efficacité sur le marché, ils ne se sont pas véritablement penchés sur les questions de protection de la vie privée que cela soulève. Les fournisseurs maintiennent que toute préoccupation concernant la protection de la vie privée n’a pas lieu d’être[2] puisqu’ils se débarrassent des communications après les avoir analysées. Toutefois, les préoccupations demeurent malgré ces assurances, car rien n’empêche les fournisseurs de modifier leurs politiques. Par exemple, aux États-Unis, la loi n’interdit pas l’usage secondaire des données issues de l’IAP[3]. Et le public n’a aucun moyen de vérifier quels fournisseurs s’adonnent à l’IAP, car elle est invisible[4]. Les fournisseurs de réseaux pourraient éventuellement stocker les communications en ligne, y compris les renseignements médicaux et la correspondance privée, et les vendre à des employeurs, à des compagnies d’assurance, à des agences d’évaluation du crédit ou à des locateurs[5]. Avec nos renseignements personnels, les fournisseurs de large bande pourraient devenir de puissants courtiers en données. Et même si les fournisseurs se contentent de stocker les données tirées de l’IAP, sans les revendre, leurs bases de données demeurent vulnérables aux fuites accidentelles et au vol[6]. De tels événements sont tout à fait envisageables si les fournisseurs de large bande décident de stocker ce genre de données.
La capacité du gouvernement de contraindre les fournisseurs de large bande à surveiller les activités en ligne d’une personne et à lui fournir les renseignements est un autre problème inquiétant. Les consommateurs méritent peut-être d’être avisés et entendus avant que leurs renseignements personnels ne soient divulgués aux organismes gouvernementaux, si un tribunal tranche que les données concernent la propriété ou la liberté de la personne[7]. De manière générale, si l’IAP devient une réalité inéluctable, le consommateur bien informé pourrait restreindre ses communications en ligne plutôt que risquer de voir ses renseignements divulgués à des tiers. Une telle situation minerait la créativité et le droit à la propriété intellectuelle, qui sont vitaux dans le développement des idées et la liberté d’expression[8].
Les fournisseurs de réseau balaient ces préoccupations du revers de la main sous prétexte que les consommateurs peuvent, d’un seul clic, choisir de ne pas participer à l’IAP[9]. Un tel optimisme quant au bon fonctionnement du marché n’est cependant pas fondé. En effet, les fournisseurs de réseaux ensevelissent les avis sur leurs pratiques d’inspection dans des politiques de protection de la vie privée lourdes et complexes, et n’informent pas les utilisateurs des changements[10] qu’ils apportent. Il y a asymétrie de l’information de base, car on ne peut raisonnablement s’attendre à ce que le consommateur soit au fait, et puisse par le fait même se protéger, de pratiques qui sont opaques. Même si le consommateur fait le choix de ne pas participer à la création de son profil comportemental à des fins publicitaires, il peut ne pas s’être opposé au copiage de son trafic. Et même si des fournisseurs de réseau adoptent une approche qui offre le choix au consommateur ou s’ils rejettent complètement l’IAP, le consommateur ne peut toujours pas contrôler totalement l’utilisation des technologies d’IAP de ceux avec qui il communique, ce qui rend son choix illusoire[11]. Ainsi, les préoccupations relatives à la protection de la vie privée ne sont pas susceptibles de disparaître d’elles-mêmes, et le consommateur ne peut protéger sa vie privée que grâce à des pratiques de cryptage coûteuses.
Étant donné les difficultés que présentent les solutions qui offrent à l’utilisateur le choix de participer ou non, ne devrait-on pas régir l’utilisation de l’IAP par une loi? La loi pourrait bannir l’utilisation de l’IAP à des fins commerciales, mais elle pourrait aussi privilégier une meilleure surveillance de l’utilisation de l’IAP par les fournisseurs. Le Center for Democracy and Technology propose différentes solutions pour améliorer la transparence et la surveillance des pratiques d’IAP, y compris la mise en place d’une liste d’exclusion, l’obligation pour les fournisseurs de dévoiler leurs pratiques de collecte de données, la création d’un comité consultatif de la protection du consommateur en ligne et la mise en place de recours en cas d’abus[12]. Ces solutions permettraient aux fournisseurs de continuer d’utiliser l’IAP pour combattre le pourriel, d’aider les procureurs qui ont des mandats de saisie et d’identifier les trafiquants de pornographie juvénile, soit précisément le rôle de « bon samaritain » que prévoit l’article 230 de la Communications Decency Act[13], le tout sans compromettre la vie privée du consommateur.
[1] Allot Communications, Digging Deeper into Deep Packet Inspection 1 (2007), http://www.getadvanced.net/learning/whitepapers/networkmanagement/Deep%20Packet%20Inspection_White_Paper.pdf (en anglais seulement) (« DPI is the foremost technology for identifying … applications »).
[2] Jerome Tollet, Myth 7: All IP Traffic Can Be Recorded, [d]packet.org, 22 sept. 2008, https://www.dpacket.org/articles/myth-7-all-ip-traffic-can-be-recorded (en anglais seulement); Lettre de Neil Smit, président et PDG de Charter Communications, au sous-comité des télécommunications et d’Internet de la Chambre des représentants des États-Unis (8 août 2008) http://energycommerce.house.gov/Press_110/Responses%20to%20080108%20TI%20Letter/110-ltr.080108responseCharter.pdf (en anglais seulement).
[3] What Your Broadband Provider Knows About Your Web Use: Deep Packet Inspection and Communications Laws and Policies, Hearing Before the Subcomm. on Telecommunications and the Internet of the H. Comm. on Energy and Commerce, 110e Cong. 13 (17 juillet 2008) [ci-après DPI Hearing] : http://energycommerce.house.gov/cmte_mtgs/110-ti-hrg.071708.Cooper-testimony.pdf (en anglais seulement) (témoignage préparé de Alissa Cooper, informaticienne en chef au Center on Democracy and Technology).
[4] Carol Wilson, DPI: A Scorned Technology that’s Thriving, Telephony Online, 21 juillet 2008, http://telephonyonline.com/iptv/news/dpi-scorned-but-thriving-0721/index.html (en anglais seulement).
[5] Declan McCullagh, Web Monitoring For Ads? It May Be Illegal, c/net News.com, 19 mai 2008, http://news.cnet.com/8301-13578_3-9947499-38.html (en anglais seulement).
[6] Danielle Keats Citron, Reservoirs of Danger: The Evolution of Public and Private Law at the Dawn of the Information Age, 80 S. Cal. L. Rev. 241, 252-53 (2007) (traite du risque de vol d’identité lié à la communication des numéros de sécurité sociale).
[7] DPI Hearing, supra note 3, at 13 (témoignage de Cooper).
[8] Julie E. Cohen, Examined Lives: Informational Privacy and the Subject as Object, 52 Stan. L. Rev. 1373, 1426 (2000); Neil M. Richards, Intellectual Privacy, 87 Tex. L. Rev. (à venir 2008), ébauche disponible à l’adresse http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1108268 (en anglais seulement).
[9] Nate Anderson, .06% Opt Out: NebuAd hides link in 5,000-word Privacy Policy, Arstechnica, 24 juillet 2008, http://arstechnica.com/news.ars/post/20080724-06-opt-out-nebuad-hides-link-in-5000-word-privacy-policy.html (en anglais seulement).
[10] Idem.
[11] DPI Hearing, à l’adresse http://energycommerce.house.gov/cmte_mtgs/110-ti-hrg.071708.Reed%20-testimony.pdf (en anglais seulement) (propos du Docteur David P. Reed, professeur adj., MIT Media Laboratory).
[12] Grant Gross, Privacy Groups Call for Do-Not-Track List, PC World, 31 octobre 2007, http://www.pcworld.com/article/139147/privacy_groups_call_for_donottrack_list (en anglais seulement).
[13] 47 U.S.C. § 230 (2000).
Commentaires sur fil RSS Pas de commentaires
Tags: DPI, Inspection, Packet, Privacy